Supervisar las acciones de un grupo de reglas en AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Anulación de acciones de reglas de un grupo de reglasEl grupo de reglas devuelve la acción de anulación a Count

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervisar las acciones de un grupo de reglas en AWS WAF

Esta sección explica cómo anular las acciones de un grupo de reglas.

Cuando agregas un grupo de reglas a tu webACL, puedes anular las acciones que realice cuando coincidan con las solicitudes web. Si se anulan las acciones de un grupo de reglas en la ACL configuración web, no se altera el grupo de reglas en sí. Solo altera la forma en que se AWS WAF usa el grupo de reglas en el contexto de la web. ACL

Anulación de acciones de reglas de un grupo de reglas

Puede anular las acciones de las reglas dentro de un grupo de reglas para cualquier acción de regla válida. Al hacerlo, las solicitudes coincidentes se gestionan exactamente como si la acción de regla configurada fuera la configuración de anulación.

nota

Las acciones de la regla pueden ser de finalización o no. Una acción de finalización detiene la ACL evaluación web de la solicitud y permite que continúe con la aplicación protegida o la bloquea.

Estas son las opciones de la acción de la regla:

  • Allow— AWS WAF permite reenviar la solicitud al AWS recurso protegido para su procesamiento y respuesta. Se trata de una acción de finalización. En las reglas que defina, puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.

  • Block— AWS WAF bloquea la solicitud. Se trata de una acción de finalización. De forma predeterminada, el AWS recurso protegido responde con un código HTTP 403 (Forbidden) de estado. En las reglas que defina, puede personalizar la respuesta. Cuando AWS WAF bloquea una solicitud, el Block la configuración de la acción determina la respuesta que el recurso protegido envía al cliente.

  • Count— AWS WAF cuenta la solicitud pero no determina si se permite o se bloquea. Se trata de una acción que no termina. AWS WAF continúa procesando las reglas restantes en la web. ACL En las reglas que defina, puede insertar encabezados personalizados en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.

  • CAPTCHA y Challenge— AWS WAF utiliza CAPTCHA acertijos y desafíos silenciosos para comprobar que la solicitud no proviene de un bot, y AWS WAF utiliza fichas para hacer un seguimiento de las respuestas recientes de los clientes que han obtenido buenos resultados.

    CAPTCHALos acertijos y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los HTTPS puntos finales. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes.

    nota

    Se le cobrarán tarifas adicionales cuando utilice el CAPTCHA o Challenge acción de regla en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte AWS WAF Precios.

    Estas acciones de regla pueden ser de finalización o no, según el estado del token de la solicitud:

    • No se cancela para un token válido y no caducado: si el token es válido y no ha caducado según el tiempo de inmunidad configurado CAPTCHA o de impugnación, AWS WAF gestiona la solicitud de forma similar a Count acción. AWS WAF continúa inspeccionando la solicitud web en función de las demás reglas de la webACL. Similar a la Count En las reglas que defina, puede configurar opcionalmente estas acciones con encabezados personalizados para insertarlos en la solicitud, y puede agregar etiquetas con las que puedan coincidir otras reglas.

    • Finalizar con una solicitud bloqueada de un token no válido o caducado: si el token no es válido o la marca de tiempo indicada ha caducado, AWS WAF finaliza la inspección de la solicitud web y bloquea la solicitud, de forma similar a Block acción. AWS WAF luego responde al cliente con un código de respuesta personalizado. En CAPTCHA, si el contenido de la solicitud indica que el navegador del cliente puede gestionarla, AWS WAF envía un CAPTCHA rompecabezas en un JavaScript intersticial, diseñado para distinguir a los clientes humanos de los bots. Para el registro Challenge acción, AWS WAF envía un JavaScript intersticial con un desafío silencioso diseñado para distinguir los navegadores normales de las sesiones ejecutadas por bots.

    Para obtener información adicional, consulta CAPTCHA y Challenge en AWS WAF.

Para obtener información acerca de cómo utilizar esta acción, consulte Invalidar acciones de reglas en un grupo de reglas.

Anular la acción de la regla para Count

El caso de uso más común para anular las acciones de la regla es anular algunas o todas las acciones de la regla para Count, para probar y supervisar el comportamiento de un grupo de reglas antes de ponerlo en producción.

También puede utilizar esto para solucionar problemas relacionados con un grupo de reglas que esté generando falsos positivos. Los falsos positivos se producen cuando un grupo de reglas bloquea el tráfico que no se espera que bloquee. Si identifica una regla dentro de un grupo de reglas que bloquee solicitudes que desea permitir, puede mantener la anulación de la acción de recuento en esa regla para evitar que actúe sobre sus solicitudes.

Para obtener más información acerca de cómo utilizar la anulación de la acción de las reglas en las pruebas, consulte Pruebas y ajustes de sus protecciones de AWS WAF.

JSONlistado: RuleActionOverrides reemplaza ExcludedRules

Si establece las acciones de las reglas del grupo de reglas en Count en su ACL configuración web antes del 27 de octubre de 2022, AWS WAF guardó sus anulaciones en la web ACL JSON comoExcludedRules. Ahora, la JSON configuración para anular una regla es Count está en la RuleActionOverrides configuración.

Te recomendamos que actualices todos los ExcludedRules ajustes de tus JSON anuncios para que RuleActionOverrides tengan la acción establecida en Count. APIAcepta cualquier configuración, pero obtendrás coherencia en tus JSON anuncios, entre el trabajo de la consola y el tuyo, si solo utilizas la nueva RuleActionOverrides configuración. API

nota

En la AWS WAF consola, la pestaña de solicitudes ACL muestreadas de la web no muestra ejemplos de reglas con la configuración anterior. Para obtener más información, consulte Visualizar una muestra de solicitudes web.

Al utilizar la AWS WAF consola para editar la configuración del grupo de reglas existente, la consola convierte automáticamente cualquier ExcludedRules configuración en RuleActionOverrides configuración, con la JSON acción de anulación establecida en Count.

  • Ejemplo de configuración actual: 

           "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "RuleActionOverrides": [
            {
              "Name": "AdminProtection_URIPATH",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]

  • Ejemplo de configuración anterior: 

    OLD SETTING
       "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "ExcludedRules": [
            {
              "Name": "AdminProtection_URIPATH"
            }
          ]
OLD SETTING

El grupo de reglas devuelve la acción de anulación a Count

Puede anular la acción que devuelve el grupo de reglas, configurándola en Count.

nota

Esta no es una buena opción para probar las reglas de un grupo de reglas, ya que no altera la forma en que AWS WAF se evalúa el propio grupo de reglas. Solo afecta a la forma en que se AWS WAF gestionan los resultados que se devuelven a la web a ACL partir de la evaluación del grupo de reglas. Si desea probar las reglas de un grupo de reglas, utilice la opción descrita en la sección anterior, Anulación de acciones de reglas de un grupo de reglas.

Al anular la acción del grupo de reglas para Count, AWS WAF procesa la evaluación del grupo de reglas con normalidad.

Si ninguna regla del grupo de reglas coincide o si todas las reglas coincidentes tienen un Count entonces, esta anulación no tiene ningún efecto en el procesamiento del grupo de reglas o en la webACL.

La primera regla del grupo de reglas que coincide con una solicitud web y que tiene una acción de regla de terminación hace AWS WAF que deje de evaluar el grupo de reglas y devuelva el resultado de la acción de terminación al nivel de evaluación webACL. En este punto, en la ACL evaluación web, esta anulación entra en vigor. AWS WAF anula la acción de finalización para que el resultado de la evaluación del grupo de reglas sea solo un Count acción. AWS WAF luego continúa procesando el resto de las reglas de la webACL.

Para obtener información acerca de cómo utilizar esta acción, consulte Sustitución del resultado de la evaluación de un grupo de reglas por Count.